IOC_ransom_110917

Доброго дня, панове.

Візьміть, будь ласка, до уваги.

Вчора в другій половині дня було зафіксовано спробу доставки загрози типу Locky Ransomware.

Рівень загрози – середній.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються GTI.

Трохи аналітики:

  • Станом на 14ту годину джерела досі активні, контрольні суми dropper та payload змінились вже втретє
  • Скрипт містить 3 адреси для завантаження одного й того ж payload
  • Знову задіяли механізм перенаправлення.
  • Пара URL – в листах іде перший, dropper (доставка типу Nemucod) на другому
  • Пару URL досі не закрили – будуть використовувати надалі, варто блокувати 188.121.39.106 _ h11p://asma.org.uk та  47.88.55.29 _ h11p://wittinhohemmo.net
  • План зловмисників простий – JS по каналу email уже блокують, а от на proxy без обгортки архівом ще поки не всі
  • Початкова стадія інфікування не виходить за межі зразків, які розглядалися раніше
  • Після запуску основної частини на моїх тестових системах шифрування не відбулося
  • Основне тіло (payload) збирає список запущених процесів і надсилає їх на зовнішній ресурс

Схема атаки:

email > URL1 > redirect > URL2 > User\Downloads\*.JS > URL3(4)(5) > %AppData%\random.exe

Лист виду:

Hi %username%,

We just need to verify your email address before your sign up is complete!

Verify your email  (URL > h11p://asma.org.uk/dropbox.html)
Happy Dropboxing!

Зверніть увагу на адресний рядок та поле From на діалозі завантаження

Іронія долі полягає у тому, що при завантаженні приманки через бравзер ОС намагається попередити користувача…

Маркери IOC:

При переході за посиланням іде перенаправлення на інший сайт з якого іде спроба завантаження JS приманки.

11/09

File Name Dropbox-MSGCODE-74089.js
SHA-256 Hash Identifier 998165D0349D4229B5737ECE7359C90ED332DA7AF995DA7B585D08277EECBF9C
File Size 16069 bytes

запуск приманки призводив до завантаження основного тіла за посиланням h11p://alu-bel.com GET /qxkugly.exe

Payload завантажується у відкритому вигляді, сам код не обфускований

File Name 1723.exe
SHA-256 Hash Identifier 819F63FD207029FA618BAC02A10AA73EE0CA15DF9EB6135F88E6F7C4BB822B29
File Size 675840 bytes

основне тіло записується і запускається %AppData%\random.exe

після запуску основного тіла іде перевірка системи на відповідність умовам і збір переліку запущених процесів, який потім передається на ресурс

h11p://dintsparrednotsit.info POST /eroorrrs

Відправка інформації про список запущених процесів – а оптім вони дивуються звідки зловмисники знають про те, який захист використовують …

12/09

сьогодні файл за посиланням було змінено на інший (обфускація та сама, посилання на збір даних у відкритому вигляді, контрольна сума інакша)

File Name Dropbox-MSGCODE-6941.js
SHA-256 Hash Identifier 3F5C0E0646813B2EA200C9834CCAE51057A4E29A29DA9C3660F6FE72E238D03F
File Size 17415 bytes
File Type ASCII text

запуск приманки призвів до циклу з трьох завантажень (у скрипті “зашиті” 3 посилання які містять одну й ту саму начинку)

_ h11p://mh-service.ru GET /canbtcc.exe

_ h11p://alexkreeger.com GET /golgers.exe

_ h11p://mobius-group.com GET /ueunyli.exe

Чітко видно цикл із трьох запусків та переходів

у всіх випадках завантажувався один і той самий файл, його поведінка була ідентична

File Name canbtcc[1].exe
SHA-256 Hash Identifier 5BF84469051C85BD684E03EB46F774CB1E913884C95ACF7B210A8A4469DA8D9F
File Size 675840 bytes

основне тіло записується і запускається %AppData%\random.exe

після запуску основного тіла іде перевірка системи на відповідність умовам і збір переліку запущених процесів, який потім передається на ресурс

h11p://dintsparrednotsit.info POST /eroorrrs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення .tmp та .exe файлів у каталозі профілю та %tmp% якщо не стандартний шлях (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5-6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

11/09

188.121.39.106 _ h11p://asma.org.uk GET /dropbox.html
47.88.55.29 _ h11p://wittinhohemmo.net GET /drop.php
212.63.108.71  _ h11p://alu-bel.com GET /qxkugly.exe
47.88.55.29  _ h11p://dintsparrednotsit.info POST /eroorrrs

12/09

188.121.39.106 _ h11p://asma.org.uk GET /dropbox.html 
47.88.55.29 _ h11p://wittinhohemmo.net GET /drop.php
89.253.235.118 _ h11p://mh-service.ru GET /canbtcc.exe 
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs
66.199.174.108 _ h11p://alexkreeger.com GET /golgers.exe
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs
176.56.62.143 _ h11p://mobius-group.com GET /ueunyli.exe
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JS файлів на рівні каналів передачі Web та Email
  • Заборона створення та зчитування/запуску *.JS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: